De la tradukinto kaj TL;DR
-
TL; DR:
Ŝajnas, ke VoLTE montriĝis eĉ pli malbone protektita ol la unuaj WiFi-klientoj kun WEP. Ekskluzive arkitektura miskalkulo, kiu ebligas vin iomete XOR la trafikon kaj restarigi la ŝlosilon. Atako eblas se vi estas proksima al la alvokanto kaj li ofte vokas.
-
Dankon pro la konsileto kaj TL;DR
-
Esploristoj faris apon por determini ĉu via portanto estas vundebla, legu pli . Kunhavigu la rezultojn en la komentoj, VoLTE estas malŝaltita en mia regiono sur Megafon.
Pri la aŭtoro
Matthew Green.
Mi estas kripto kaj profesoro ĉe Universitato Johns Hopkins. Mi desegnis kaj analizis kriptografajn sistemojn uzatajn en sendrataj retoj, pagsistemoj kaj platformoj pri cifereca enhavo. En mia esplorado, mi rigardas malsamajn manierojn uzi kriptografion por plibonigi uzantan privatecon.
Pasis iom da tempo de kiam mi skribis afiŝoformaton , kaj ĝi ĝenis min. Ne ĉar ne estis atakoj, sed plejparte ĉar ne estis atako kontraŭ io sufiĉe vaste uzata por eligi min el verkista bloko.
Sed hodiaŭ mi renkontis nomata ReVoLTE por protokoloj, kiujn mi aparte entuziasmas pri hakado, nome protokoloj LTE de ĉela reto (voĉo super). Mi estas ekscitita pri ĉi tiuj apartaj protokoloj—kaj ĉi tiu nova atako—ĉar estas tre malofte vidi realajn ĉelajn retajn protokolojn kaj efektivigojn hakitaj. Ĉefe ĉar ĉi tiuj normoj estis evoluigitaj en fumplenaj ĉambroj kaj dokumentitaj en 12000-paĝaj dokumentoj, kiujn ne ĉiu esploristo povas manipuli. Plie, efektivigi ĉi tiujn atakojn devigas esploristojn uzi kompleksajn radioprotokolojn.
Tiel, seriozaj kriptografaj vundeblecoj povus disvastiĝi tra la mondo, eble nur por esti ekspluataj de registaroj, antaŭ ol iu esploristo rimarkas. Sed de tempo al tempo estas esceptoj, kaj la hodiaŭa atako estas unu el ili.
aŭtoroj Kontribuantoj: David Rupprecht, Katharina Kohls, Thorsten Holz kaj Christina Pöpper el Ruhr-Universitato Bochum kaj Novjorka Universitato Abu Dhabi. Ĉi tio estas bonega atako por reinstali la ŝlosilon en la voĉa protokolo, kiun vi verŝajne jam uzas (supoze, ke vi estas de pli malnova generacio, kiu ankoraŭ faras telefonvokojn per poŝtelefono).
Komence, mallonga historia ekskurso.
Kio estas LTE kaj VoLTE?
La bazo de niaj modernaj poŝtelefonaj normoj estis metita en Eŭropo reen en la 80-aj jaroj per la normo (Tutmonda Sistemo por Poŝtelefonaj Komunikadoj). GSM estis la unua grava cifereca poŝtelefona normo, kiu lanĉis kelkajn revoluciajn ecojn, kiel ekzemple la uzo por protekti telefonvokojn. Frua GSM estis dizajnita ĉefe por voĉkomunikadoj, kvankam mono povus esti .
Ĉar datumtranssendo iĝis pli grava en ĉelaj komunikadoj, Long Term Evolution (LTE) normoj estis evoluigitaj por fluliniigi ĉi tiun specon de komunikado. LTE baziĝas sur grupo de pli malnovaj normoj kiel GSM, и kaj estas dizajnita por pliigi datumojn interŝanĝrapidecon. Estas multe da markado kaj sed la TL; DR estas ke LTE estas datumtranssendosistemo kiu funkcias kiel ponto inter pli malnovaj pakaj datumprotokoloj kaj estontaj ĉelaj datumteknologioj .
Kompreneble, la historio diras al ni, ke kiam estas sufiĉe da (IP) bendolarĝo disponebla, konceptoj kiel "voĉo" kaj "datumoj" komencos malklariĝi. La sama validas por modernaj ĉelaj protokoloj. Por fari ĉi tiun transiron pli glata, LTE-normoj difinas (VoLTE), kiu estas IP-normo por porti voĉalvokojn rekte super la datumaviadilo de LTE-sistemo, preterpasante tute la telefonan parton de la ĉela reto. Kiel ĉe normo ,VoLTE-vokoj povas esti ĉesigitaj de la ĉela operatoro kaj konektitaj al la regula telefona reto. Aŭ (kiel ĉiam pli oftas) ili rekte de unu ĉela kliento al alia, kaj eĉ inter malsamaj provizantoj.
Kiel norma VoIP, VoLTE baziĝas sur du popularaj IP-bazitaj protokoloj: Session Initiation Protocol ( - SIP) por alvoka agordo kaj realtempa transportprotokolo (, kiu devus esti nomita RTTP sed fakte estas nomita RTP) por prilaborado de voĉdatenoj. VoLTE ankaŭ aldonas kelkajn pliajn bendolarĝajn optimumigojn, kiel kap-kunpremadon.
Bone, kion ĉi tio rilatas al ĉifrado?
LTE, kiel , havas norman aron de ĉifrikaj protokoloj por ĉifrado de pakaĵetoj kiam ili estas elsenditaj super la aero. Ili estas ĉefe desegnitaj por protekti viajn datumojn dum ĝi vojaĝas inter la telefono (nomita la uzantekipaĵo aŭ UE) kaj la ĉela turo (aŭ kie ajn via provizanto decidas ĉesigi la konekton). Ĉi tio estas ĉar ĉelaj provizantoj rigardas eksterajn subaŭskultajn aparatojn kiel malamikojn. Nu, kompreneble.
(Tamen, la fakto, ke VoLTE-konektoj povas okazi rekte inter klientoj sur malsamaj provizantaj retoj signifas, ke la VoLTE-protokolo mem havas kelkajn kromajn kaj laŭvolajn ĉifradajn protokolojn, kiuj povas okazi ĉe pli altaj retaj tavoloj. Ĉi tio ne rilatas al la nuna artikolo, krom fakto ke ili povas ruinigi ĉion (pri ili ni mallonge parolos poste).
Historie, ĉifrado en GSM estis : malbona , protokoloj en kiuj nur la telefono estis aŭtentikigita al la turo (signifante ke atakanto povis parodii la turon, generante ) kaj tiel plu. LTE korektis multajn el la evidentaj cimoj konservante multon da la sama strukturo.
Ni komencu per ĉifrado mem. Supozante, ke kreado de ŝlosilo jam okazis - kaj pri tio ni parolos post minuto - tiam ĉiu pako da datumoj estas ĉifrita per flua ĉifrado uzante ion nomitan "EEA" (kiu praktike povas esti efektivigita uzante aferojn kiel AES ). Esence, la ĉifrada mekanismo ĉi tie estas kiel sube:
La ĉefa ĉifrada algoritmo por VoLTE-pakoj (fonto: ). EEA estas ĉifro, "COUNT" estas 32-bita nombrilo, "BEARER" estas unika sesiidentigilo kiu apartigas VoLTE-konektojn de regula interreta trafiko. "DIRECTION" indikas en kiu direkto la trafiko fluas - de la UE al la turo aŭ inverse.
Ĉar la ĉifra algoritmo mem (EEA) povas esti efektivigita uzante fortan ĉifron kiel AES, estas neverŝajne ke estos ia rekta atako sur la ĉifro mem tiel. . Tamen, estas klare, ke eĉ kun forta ĉifro, ĉi tiu ĉifrada skemo estas bonega maniero pafi vin en la piedon.
Aparte: la LTE-normo uzas (neaŭtentikigitan) fluon ĉifron kun reĝimo kiu estos ekstreme vundebla se la nombrilo - kaj aliaj enigaĵoj kiel ekzemple "portanto" kaj "direkto" - iam estas reuzataj. En moderna lingvaĵo, la esprimo por ĉi tiu koncepto estas "nence reuza atako", sed la eblaj riskoj ĉi tie ne estas io moderna. Ili estas famaj kaj antikvaj, devenantaj de la tagoj de glammetalo kaj eĉ diskoteko.
Atakoj kontraŭ nonce reuzo en CTR-reĝimo ekzistis eĉ kiam Poison iĝis konata
Por esti juste, la LTE-normoj diras, "Bonvolu ne reuzi ĉi tiujn mezurilojn." Sed la LTE-normoj longas ĉirkaŭ 7000 XNUMX paĝojn, kaj ĉiukaze estas kiel petegi infanojn ne ludi per pafilo. Ili neeviteble faros, kaj teruraj aferoj okazos. La pafpafilo en ĉi tiu kazo estas ŝlosilflua reuza atako, en kiu du malsamaj konfidencaj mesaĝoj XOR la samaj ŝlosilfluaj bajtoj. Oni scias, ke ĉi tio .
Kio estas ReVoLTE?
La ReVoLTE-atako pruvas, ke, en la praktiko, ĉi tiu tre vundebla ĉifrada dezajno estas misuzata de reala aparataro. Specife, la aŭtoroj analizas realajn VoLTE-vokojn faritajn per komercaj ekipaĵoj kaj montras, ke ili povas uzi ion nomatan "ŝlosila reinstala atako". (Multa kredito por trovi ĉi tiun problemon iras al (Raza & Lu), kiuj estis la unuaj se temas pri atentigi la eblan vundeblecon. Sed ReVoLTE-esplorado igas ĝin praktika atako).
Mi montru al vi mallonge la esencon de la atako, kvankam vi devus rigardi kaj .
Oni povus supozi, ke post kiam LTE establas pakadatumkonekton, la tasko de voĉo super LTE fariĝas nur afero de envojigo de voĉpakoj tra tiu konekto kune kun la tuta resto de via trafiko. Alivorte, VoLTE estos koncepto, kiu nur ekzistas [OSI-modeloj - ĉ.]. Ĉi tio ne estas tute vera.
Fakte, la ligotavolo LTE enkondukas la koncepton de "portanto". Portantoj estas apartaj sesiidentigiloj kiuj apartigas malsamajn specojn de paka trafiko. Regula interreta trafiko (via Twitter kaj Snapchat) trairas unu portanton. SIP-signalado por VoIP pasas tra alia, kaj voĉaj trafikpakaĵoj estas prilaboritaj tra triono. Mi ne estas tre sperta pri LTE-radio kaj retvojaj mekanismoj, sed mi kredas, ke ĝi estas farita tiamaniere ĉar LTE-retoj volas devigi QoS (kvalito de servo) mekanismojn tiel ke malsamaj pakaĵetfluoj estas prilaboritaj je malsamaj prioritatniveloj: t.e. via duaranga TCP-konektoj al Facebook eble havas pli malaltan prioritaton ol viaj realtempaj voĉvokoj.
Ĉi tio ĝenerale ne estas problemo, sed la konsekvencoj estas jenaj. Ŝlosiloj por LTE-ĉifrado estas kreitaj aparte ĉiufoje kiam nova "portanto" estas instalita. Esence, ĉi tio devus okazi denove ĉiufoje kiam vi faras novan telefonvokon. Ĉi tio rezultigos malsaman ĉifradŝlosilon uzatan por ĉiu voko, forigante la eblecon reuzi la saman ŝlosilon por ĉifri du malsamajn arojn de voĉvokaj pakaĵetoj. Efektive, la LTE-normo diras ion kiel "vi devus uzi malsaman ŝlosilon ĉiufoje kiam vi instalas novan portanton por trakti novan telefonvokon." Sed ĉi tio ne signifas, ke tio efektive okazas.
Fakte, en real-vivaj efektivigoj, du malsamaj vokoj okazantaj en proksima tempa proksimeco uzos la saman ŝlosilon - malgraŭ la fakto ke novaj portantoj de la sama nomo estas agorditaj inter ili. La nura praktika ŝanĝo kiu okazas inter ĉi tiuj vokoj estas ke la ĉifrada nombrilo estas rekomencigita al nulo. En la literaturo oni foje nomas tion . Oni povus argumenti, ke tio estas esence efektiviga eraro, kvankam ĉi-kaze la riskoj ŝajnas plejparte deveni de la normo mem.
En praktiko, ĉi tiu atako rezultigas ŝlosilan fluon reuzon, kie la atakanto povas akiri la ĉifritajn pakaĵetojn $inline$C_1 = M_1 oplus KS$inline$ kaj $inline$C_2 = M_2 oplus KS$inline$, permesante la kalkulon de $inline$ C_1 oplus C_2 = M_1 oplus M_2$enline$. Eĉ pli bone, se la atakanto konas unu el $inline$M_1$inline$ aŭ $inline$M_2$inline$, tiam li povas tuj reakiri la alian. Ĉi tio donas al li fortan instigon eltrovu unu el la du neĉifritaj komponantoj.
Ĉi tio alportas nin al la kompleta kaj plej efika atakscenaro. Konsideru atakanton, kiu povas kapti radiotrafikon inter celtelefono kaj ĉelturo, kaj kiu iel bonŝancas registri du malsamajn vokojn, kun la dua okazanta tuj post la unua. Nun imagu, ke li povus iel diveni la neĉifritan enhavon de unu el la alvokoj. Kun tia serendipo nia atakanto povas plene deĉifri la unuan vokon uzante simplan XOR inter la du aroj de pakoj.
Kompreneble, sorto havas nenion komunan kun ĝi. Ĉar telefonoj estas dizajnitaj por ricevi vokojn, atakanto, kiu povas preteraŭdi la unuan vokon, povos iniciati duan vokon en la ĝusta momento, kiam la unua finiĝas. Ĉi tiu dua alvoko, se la sama ĉifrada ŝlosilo estas uzata denove kun la nombrilo rekomencigita al nulo, permesos la neĉifritajn datumojn esti reakiritaj. Krome, ĉar nia atakanto efektive kontrolas la datumojn dum la dua alvoko, li povas reakiri la enhavon de la unua alvoko - danke al multaj specife efektivigitaj. malgrandaj aferoj, ludante sur sia flanko.
Jen bildo de la ĝenerala atakplano prenita de :
Atako superrigardo de . Ĉi tiu skemo supozas ke du malsamaj vokoj estas faritaj uzante la saman ŝlosilon. La atakanto kontrolas la pasivan flarin (supre maldekstre), same kiel duan telefonon, per kiu li povas fari duan vokon al la telefono de la viktimo.
Do ĉu la atako vere funkcias?
Unuflanke, ĉi tio estas vere la ĉefa demando por la artikolo pri ReVoLTE. Ĉiuj ĉi-supraj ideoj estas bonegaj en teorio, sed ili lasas multajn demandojn. Kiel:
- Ĉu eblas (por akademiaj esploristoj) efektive kapti VoLTE-konekton?
- Ĉu veraj LTE-sistemoj efektive reŝlosas?
- Ĉu vi povas efektive iniciati duan alvokon sufiĉe rapide kaj fidinde por ke la telefono kaj turo reuzu la ŝlosilon?
- Eĉ se sistemoj reŝlosas, ĉu vi povas fakte koni la neĉifritan enhavon de la dua alvoko - ĉar aferoj kiel kodekoj kaj transkodigo povas tute ŝanĝi la (bit-post-bitan) enhavon de tiu dua alvoko, eĉ se vi havas aliron al la "bitoj" " venante de via ataktelefono?
La laboro de ReVoLTE respondas al kelkaj el ĉi tiuj demandoj jese. La aŭtoroj uzas komercan programaron-reagordeblan radiofluon sniffer nomitan por kapti VoLTE-vokon de la malsuprenliga flanko. (Mi pensas, ke nur ekkompreni la programaron kaj akiri malglatan ideon pri kiel ĝi funkcias prenis monatojn de la vivo de la malriĉaj diplomiĝaj studentoj - kio estas tipa por ĉi tiu speco de akademia esplorado).
La esploristoj trovis, ke por ke ŝlosila reuzo funkciu, la dua alvoko devis okazi sufiĉe rapide post kiam la unua finiĝis, sed ne tro rapide—ĉirkaŭ dek sekundoj por la funkciigistoj, kun kiuj ili eksperimentis. Feliĉe, ne gravas ĉu la uzanto respondas al la voko en tiu ĉi tempo - la "ringo" t.e. La SIP-konekto mem devigas la funkciigiston reuzi la saman ŝlosilon.
Tiel, multaj el la plej malbonaj problemoj rondiras ĉirkaŭ problemo (4) - ricevado de pecoj de la neĉifrita enhavo de voko iniciatita de atakanto. Ĉi tio estas ĉar multe povas okazi al via enhavo dum ĝi vojaĝas de la telefono de la atakanto al la telefono de la viktimo tra la ĉela reto. Ekzemple, tiaj malpuraj lertaĵoj kiel rekodigo de kodita sonfluo, kiu lasas la sonon la sama, sed tute ŝanĝas ĝian binaran reprezenton. LTE-retoj ankaŭ uzas RTP-kapokunpremadon, kiu povas signife ŝanĝi grandan parton de la RTP-pako.
Fine, la pakaĵoj senditaj de la atakanto devus esti proksimume konformaj al la pakoj senditaj dum la unua telefonvoko. Ĉi tio povas esti problema ĉar modifi la silenton dum telefonvoko rezultigas pli mallongajn mesaĝojn (alinome komforta bruo) kiuj eble ne bone kongruas kun la origina voko.
Indas legi detale. Ĝi traktas multajn el ĉi-supraj aferoj - aparte, la verkintoj trovis ke kelkaj kodekoj ne estas rekoditaj, kaj ke proksimume 89% de la binara reprezentantaro de la celvoko povas esti reakiritaj. Ĉi tio validas por almenaŭ du eŭropaj funkciigistoj, kiuj estis testitaj.
Ĉi tio estas surprize alta sukcesprocento, kaj sincere multe pli alta ol mi atendis kiam mi komencis labori pri ĉi tiu dokumento.
Do kion ni povas fari por ripari ĝin?
La tuja respondo al ĉi tiu demando estas tre simpla: ĉar la esenco de la vundebleco estas ŝlosila reuzo (reinstalado) atako, simple riparu la problemon. Certiĝu, ke nova ŝlosilo estas akirita por ĉiu telefonvoko, kaj neniam permesu al la paka nombrilo restarigi la nombrilon al nulo uzante la saman ŝlosilon. Problemo solvita!
Aŭ eble ne. Ĉi tio postulos ĝisdatigi multajn ekipaĵojn, kaj, sincere, tia solvo en si mem ne estas super fidinda. Estus bone, se normoj povus trovi pli sekuran manieron efektivigi siajn ĉifrajn reĝimojn, kiu ne estas defaŭlte katastrofe vundebla al tiaj ŝlosilaj reuzaj problemoj.
Unu ebla elekto estas uzi . Ĉi tio eble estas tro multekosta por iu nuna aparataro, sed ĝi certe estas areo pri kiu dizajnistoj devus pripensi estonte, precipe ĉar 5G-normoj estas tuj transprenos la mondon.
Ĉi tiu nova studo ankaŭ levas la ĝeneralan demandon pri kial , multaj el kiuj uzas tre similajn dezajnojn kaj protokolojn. Kiam vi alfrontas la problemon reinstali la saman ŝlosilon tra pluraj vaste uzataj protokoloj kiel WPA2, ĉu vi ne pensas, ke eble estas tempo plifortigi viajn specifojn kaj testajn procedurojn? Ĉesu trakti normajn efektivigantojn kiel pripensemajn partnerojn, kiuj atentas viajn avertojn. Traktu ilin kiel (neintencaj) kontraŭuloj, kiuj neeviteble miskomprenos aferojn.
Aŭ, alternative, ni povas fari tion, kion kompanioj kiel Facebook kaj Apple ĉiam pli faras: fari ĉifradon de voĉvoko okazi ĉe pli alta nivelo de la OSI-reto-stako, sen fidi je ĉelaj ekipaĵoj. Ni eĉ povus antaŭenpuŝi fin-al-finan ĉifradon de voĉvokoj, kiel WhatsApp faras kun Signal kaj FaceTime, supozante, ke la usona registaro nur ĉesas. . Tiam (krom iuj metadatenoj) multaj el ĉi tiuj problemoj simple malaperus. Ĉi tiu solvo estas precipe grava en mondo kie .
Aŭ ni povas simple fari tion, kion niaj infanoj jam faris: ĉesu respondi tiujn ĝenajn voĉvokojn.
fonto: www.habr.com